win2003组策略-进阶篇

进阶篇

一、管理模板

管理模板的修改实际上是修改注册表。

所有基于注册表的组策略设定存为Registry.pol，放在Sysvol文件夹中。

.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序配置的方法。

二、GMMC

安全筛选器

缺省:Authenticated Users

WMI筛选器

复制、粘贴组策略

组策略的迁移和迁移表

u 迁移需求（跨域）

? 试验环境—生产环境

? 生产环境1—生产环境2

u 迁移解决方案

? 复制+粘贴

? 备份+导入

u 挑战

? 安全主体（用户、组、计算机）

? UNC

u 迁移表（*.migtable）

? 影射源GPO中安全主体、UNC到目标GPO中新值的文件

迁移表编辑器

Mtedit.exe

或

GPMC控制台

右键单击“域”，下拉菜单中选择“打开迁移表编辑器”。

右击“组策略对象”，下拉菜单中选择“打开组策略编辑器”。

使用脚本”createmigrationtable.wsf”。

RSoP（resultant set of group policy）策略的结果集

客户对于组策略的第一改进要求

两种模式

记录模式

计划模式

工具

mmc中的组策略结果集

%systemroot%\system32\gpresult.exe

GPMC

组策略结果

组策略建模

高级查看

脚本化GPO操作

在program files\gpmc\scripts中

三、组策略安全设置

帐户策略

l 密码策略

? 定义密码的长度、复杂度、历史密码以及存留周期等

? 注意：密码策略只能设置在域级，设置在ou上的密码策略只对OU所影响的计算机的本地用户有效

l 帐户锁定策略

? 防止攻击者恶意猜测用户密码的保护措施

? 注意：默认管理员不会被锁定

l Kerberos策略

? 定义票据策略（仅适用于域环境）

软件限制策略

? 不能替代防病毒软件

? 优先级

哈希、证书、路径、区域规则

四、组策略最佳实践和技巧

http://bbs.51cto.com/thread-408278-1-1.html

技巧#1单独保留默认的GPOs

Default domain policy & default domain controllers policy

密码、帐户锁定和kerberos策略设置必须在域级别实现

还有以下设置：登陆时间用完自动注销用户，重命名（Domain）管理员账户和重命名（Domain）来宾帐户。

两种方法:

#1:在Default Domain Policy仅修改以上策略设置，然后在其下链接其他GPO

#2:单独保留Default Domain policy-永不修改，创建并链接高优先级的GPO，然后修改策略设置。

为什么是噩梦？KB226243,KB324800,KB267553

不要依赖DCgpofix(这将是最后的还原工具),最好使用您的备份替代

技巧#2设计您的OU结构

将DC放在DC所在的OU并单独管理

为用户和计算机创建单独的OU

使用OU把用户/计算机按照角色分组

默认情况下，所有新帐户创建在cn=users或者cn=computers（不能链接GPO）

Redirusr.exe 重定向用户到指定OU

Redircmp.exe 重定向计算机到指定OU

如：redircmp ou=testou,dc=test,dc=com

注意域功能级别至少是2003才能生效

测试：net computer \\p1 /add,可以发现已重定向至testou

技巧#3：反对跨域GPO链接

将明显的影响处理时间

通过线缆取GPO的时间

使排错和客户端处理GPO的速度非常慢

违反KISS规则keep it simple,stupid

在一个域更改GPO设置将将影响另外一个域

使用GPMC脚本来帮助部署和维护跨域的组策略的一致性

CreateEnvironmentFromXML.wsf

CreateXMLFromEnvironment.wsf

技巧#4:谨慎使用强制/禁止替代/阻止继承、回环处理模式

增加了处理时间，增加了排错的难度

您可以在域级别强制一个标准策略，但是不要使用组织继承

回环处理模式会给配错带来负担，但是有特定的场景使用

通过用于保证等于的每一个用户都能获得相同的配置

用于特定的计算机（例如：公共场所的电脑，图书馆，还有教室）

您需要基于使用的计算机来修改用户策略

经常用户终端服务实现

Kb231287

在组策略中,计算机配置-管理模板-系统-组策略-用户组策略环回模式

技巧#5：使一切简单化

考虑以下几点：

每增加一个GPO都会增加复杂度

限制谁能创建/修改/链接GPOs（委派）

回环处理/强制/阻止继承使事情

KISS：如果可能的话，使用一下三个层次的GPO

默认的域策略

用户帐户设置

一个基线的安全策略（强制）

应用到域中的每个用户，每台计算机

一个指定OU的策略

专门针对某个OU包含一些唯一设置的GPO

反对为每一个GPO设置安全过滤器

仅仅对每个GPO中需要的设置做修改，其它保留默认状态（未配置）

技巧#6:在GPMC中进行所有的操作

使用GPMC的RSOP工具

文档化GPO的设置

进行委派

所有的启用、禁用、链接、强制等

使用它禁用所有的GPO中不使用的部分（用户或计算机）-略微的改进处理时的性能

在测试环境和生产环境进行迁移

和GPMC一起安装的脚本（c:\programfiles\gpmc\scripts）

技巧#7使用GPO规划工具

1、所有的GPO设置参考
[url=http://www.microsoft.com/downloads/details.aspx?familyid=][color=#0008ec]http://www.microsoft.com/downloads/details.aspx?familyid=[/color][/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(详细)：
详细指南：
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx][color=#0008ec]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/color][/url]

技巧#8：即使没有改变设置也强制重新应用策略

使用于当用户是客户计算机的本地管理员的成员的场景

在组策略应用以后覆盖指定的设置

默认情况下，组策略只会检查有没有新的策略设置可用，然后在后台刷新。
强制策略再次处理：

计算机或用户配置>管理模板>系统>组策略>[每一种策略的类型]策略处理

技巧#9：使windows xp同步处理组策略

Windows xp默认是异步处理组策略

Windows 2000默认是同步处理组策略

我的看法：

我不想让操作系统来决定组策略的处理方式

我并不想其它因素影响排错

计算机配置-管理模版-系统-登陆-计算机启动过河登陆时总是等待网络

技巧#10：使用GPO命名惯例

保证GPO的一致性并保证容易理解

创建GPO的管理员越多，一致性越差

使用简洁的名字描述GPO的意图

微软使用的命名惯例：

三个关键字符

范围（end user ,worldwide,IT）

目的

谁管理

示例：“IT-office2003-ITG”

技巧#11：为新的账户制定策略

默认情况下，所有新的账户在cn=users或cn=computers

不能链接gpos到这些容器

技巧#12：我怎么样阻止用户写数据到usb设备？

创建自定义ADM模版

限制windows xp/sp2:(将对设备“写保护“)

Class machine

Category “USB Storage”

Policy “write protect usb storage”

Keyname “system\currentcontrolset\control\storagedevicepolicies”

Valvename “writeprotect”

Valveon numeric 1

Valveoff numeric 0

End policy

End category

禁止读写

。。。。

技巧#13我怎样才能阻止用户访问特定的驱动器（E:、F：、G：、H.etc）？

组策略设置

用户配置-管理模版-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器

不能禁用其他的驱动器

自定义管理模版或使用GPDriveOptions

技巧#14 我怎么样快速的复制我的环境用于测试？

CreatXMLformenvironment

Createenvironmentfromxml

技巧#15：什么是对每个gpo文档化的最好的途径

在GPMC中，组策略的save report

技巧#16：我怎么样找出那些GPO包含特定的策略设置？

Gpmc\scripts\findgposbypolicyextension.wsf

技巧#17：密码存储安全

1、windows 使用两种不同的密码表示方法（通常称为“哈希”）生成并存储用户帐户密码
（1）当您将用户帐户的密码设置或更改为包含少于15位字符的密码时，windows会为此密码同时生成LAN Manager哈希（LM哈希）和windows NT哈希（NT哈希）
（2）这些哈希存储在本地安全帐户管理器（SAM）数据库或Active Directory中。
（3）与NT哈希相比，LM哈希相对较弱，因此容易遭到暴力攻击。
（4）考虑阻止windows 存储密码的LM哈唏
2、不允许存储LM哈希值（windows XP或windows server2003）
（1）计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全：不要在下次更改密码时存储LAN Manager哈希值。
（2）有些产品或者应用程序依赖于LM哈唏（Win9x没有安装活动目录客户端和第三方SMB客户端例：samba）.
3、参考KB 299656

技巧#18：清空上次登陆的用户名

1、 如果便携电脑被盗，盗窃者需要猜测两个部分（用户名、密码）
2、计算机配置>windows设置>本地策略>安全选项>交互式登录：不显示上次登录名
具体应用场景：台式机设置不显示上次登录名的必要性小点，主要是针对便携式计算机，可以给便携式计算机建个OU，设置不显示上次登录用户名的策略。

技巧#19：面对密码猜测

1、 使用清空上次登录的用户名技巧
2、最好能布置监视的工具（最佳技巧）
（1）不要实现帐户锁定策略（别人就可以利用脚本进行不停的猜测密码，这就会形成一种拒绝服务攻击，让所有域用户帐户锁定），集中在面对密码猜测的响应。
（2）如果可能，在特定的周期内对大量的密码猜测让系统自动响应（找出猜密码的人，而进一步做处理）。
2、如果没有监视工具
（1）考虑使用帐户锁定策略
（2）增加了管理上的负担
（3）接受DOS攻击（通过隐藏上次的登录名减少攻击）

技巧#20使用WMI过滤器（XP and ws2003 only）需要考虑好它的生存周期

为什么？显著的增加了处理时间

每次组策略重新应用时将被重新评估

示例：

微软OTG小组需要对具有适当网卡的计算机实现IPSEC

创建GPO并连接一个单独的WMI过滤器（WMI过滤器用于检查是否正确的网卡）

能够马上实现，而不是等待所有计算机都安装了适当的网卡

一旦IPSEC实现了，WMI过滤器就应当移除

注意，Windows 2000并不会评估WMI过滤器-但gpo仍然会应用

使用WMI scriptomatic来找出正确的wmi查询

技巧#21:创建登陆警报

l 通常用于实现通知用户他们使用的系统属于公司并且

? 他们系统被监视

l 计算机配置-Windows设置-本地策略-安全选项-交互式登录-用户试图登陆时的消息文字

l 您消息文字中提示的内容可以做也可以不去做-但是使用消息文字，最起码可以让你的老板知道您正在做您的份内工作。

技巧#22：严格控制default domain controllers policy用户权利

Default domain controllers policy-计算机配置-windows设置-安全设置-本地策略-用户权限指派

从网路访问此计算机 删除everyone

允许在本地登陆

通过终端服务允许登陆 仅administrators

域中添加工作站 仅adminsitrators

更改系统时间 仅administrators

装载和卸载设备驱动程序仅administrators

还原文件和目录仅administrators

关闭系统仅administrators

技巧#23:限制匿名枚举

l 匿名枚举允许非授权的客户端请求信息

? 域成员列表

? 列出可用的共享

l Default domain controllers policy –计算机配置-windows设置-安全设置-本地策略-安全选项-网路访问

? 允许匿名sid/名称转换

2 止用户使用已知的SID猜测管理员的用户名

? 不允许SAM账户的匿名猜测

2 防止匿名用户从SAM数据库收集信息并枚举共享

? 让每个人的权限应用于匿名用户

2 用户控制是否让匿名用户具有和everyone一样的权利

? 限制匿名访问的命名管道/共享

2 控制匿名用户是否客户访问共享资源

技巧#24:关机清理页面文件

1、 页面文件中存放着很多有用的信息，像临时仓库
2、创建/清理硬盘上的虚拟内存页面文件将增加开机和关机时间
3、这是一个安全考虑（建议无论是DC还是客户端都应启用这个策略）
位置：计算机配置>Windows设置>安全设置>本地策略>安全选项>关机：清除虚拟内存页面文件

技巧#25：打开审核&更改日志文件大小

1、 改变所有日志文件大小为10MB+
（1）计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值
（2）为每个节点设置保持方法。建议方法：不要覆盖事件（手动清除日志）
2、禁用如果无法记录安全审核则立即关闭系统（例：Windows设置的日志大小是200M，经过一段时间，日志写满了，那服务器就会自动关机的）
计算机配置>Windows设置>安全设置>本地策略>安全选项>审核：如果无法记录安全审核则立即关闭系统

技巧#26：强制使LM离开您的网络

1、网络中使用哈唏做身份验证的若干种方法
（1）LM：非常脆弱，很容易被sniffer捕获到口令
（2）NTLM v1：比LM安全，但仍然容易被攻击
（3）NTLM v2：较安全，但是不被以前的客户端支持
（4）Kerberos：非常安全，不被以前的客户端支持
2、有些产品依赖于LM哈唏
（1）Win9x（没有安装活动目录客户端）
（2）第三方的SMB客户端（samba）
3、设置合适的LM兼容级别
Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全：LAN Manager身份验证级别（建议设定不在支持LM）
4、参考KB 239869

组策率盘点工具

www.gpanswers.com

Group policy inventory